守護安全之門！銀河麒麟操作系統(tǒng)“安全啟動”功能詳解

安全體系的構建離不開操作系統(tǒng)本身的硬實力，更離不開與上下游伙伴用戶產品合力共建。其中，安全啟動（Secure Boot）作為一項至關重要的安全技術，成為現代計算機系統(tǒng)安全的一道堅固防線，尤其在搭載國產操作系統(tǒng)與UEFI（統(tǒng)一可擴展固件接口）的設備上，展現出了非凡的安全效能。

安全啟動的主要目標是驗證UEFI啟動過程中加載的所有可執(zhí)行文件的合法性和完整性，以防止未經授權或篡改的代碼被加載和執(zhí)行。這些可執(zhí)行文件包括UEFI驅動程序、UEFI應用程序和操作系統(tǒng)的引導加載程序（bootloader）等。

安全啟動使用了數字簽名技術來實現啟動過程的驗證功能。系統(tǒng)啟動過程的主要組件會預先被私鑰簽名；對應的用于驗證簽名的公鑰被內置到UEFI固件中，它就像一把智能鑰匙，只允許那些經過認證的“朋友”進入我們的數字家園。

在啟動過程中，前一個部件驗證后一個部件的數字簽名，如果能驗證通過，則運行后一個部件；如果驗證不通過，則暫停啟動。通過安全啟動可以保證系統(tǒng)啟動過程中各個部件的完整性，防止沒有經過認證的部件被加載運行，從而防止對系統(tǒng)及用戶數據產生安全威脅。

安全啟動涉及的驗證組件：BIOS->shim->grub->vmlinuz（依次驗簽通過并加載），其中vmlinuz是內核鏡像。

安全啟動標準驗證流程圖

安全啟動為計算機系統(tǒng)的啟動過程提供了額外的防護層，可以有效地阻止惡意軟件在啟動階段的攻擊和植入。它在現代操作系統(tǒng)和計算機硬件中被廣泛支持，并成為保護系統(tǒng)安全的重要措施之一。以技術自主、兼容廣泛為優(yōu)勢，銀河麒麟操作系統(tǒng)與上下游伙伴產品共同為用戶安全保駕護航。

截至目前，銀河麒麟操作系統(tǒng)已在超過20款不同架構的整機上成功實現了安全啟動功能，涵蓋了長城、昆侖、百敖等多個固件廠商的產品。其中，對loongarch64架構的支持是國內該架構首次應用安全啟動技術，極大地豐富了用戶在設備選擇上的兼容性選項。這一系列兼容性建設成果意味著用戶在面對多樣化的硬件設備時，無需擔心兼容性障礙，能夠確保系統(tǒng)啟動過程既流暢又安全，真正滿足了用戶按需選擇、廣泛適配的需求，為信息安全性提供了堅實保障。

政府采購需求標準（2023年版）中明確要求臺式機、筆記本、一體機、工作站及通用服務器等整機必須支持固件安全啟動。銀河麒麟操作系統(tǒng)已攜手整機制造商準備相關測評事宜，以滿足政府對于信息安全的高標準要求。

隨著數字化世界的飛速發(fā)展，安全啟動技術不僅是當下安全的基石，更是未來智能化生活的守護神。作為中國操作系統(tǒng)核心力量，麒麟軟件將持續(xù)優(yōu)化與創(chuàng)新，為用戶打造一個更加安全可信的數字環(huán)境，讓安全成為習慣，而不是偶然。期待在數字世界的每一個角落，都能有您的安全同行！